我在Windows Server 2003和Windows Server 2008上使用IIS运行多个网站。这些网站只使用指定的NTLM选项(无Kerberos)进行Windows身份validation。
这些服务器都是同一个活动目录域,function级别Windows Server 2003的成员。有一些域控制器同时运行Windows Server 2008和Windows Server 2012。
该域与自己林中的另一个活动目录域具有双向信任关系。
有时,用户无法使用受信任域中的用户帐户对IIS网站进行身份validation。 他们通过浏览器反复提示input凭据,经过多次尝试,显示一个空白页面。 凭据是有效的。 作为故障排除步骤,我授予受信任域权限的testing帐户以在本地login到Web服务器,并且能够在IIS不允许用户使用相同凭据login的同时使用该帐户login到Web服务器。
这个问题不会同时发生在所有的Web服务器上,其中一个会受到影响,而另一个则会继续处理来自可信域的login请求。
重新启动工作站服务可解决问题(以及重新启动整个服务器)。
我的问题是:
如何确定哪个活动目录域控制器正在处理来自IIS的login请求:a:主域b:受信任的域
当IIS收到信任域的login请求时,该请求是如何处理的? 具体来说,请求是发送到主域还是次域中的域控制器,以及如何select特定的域控制器?
谢谢,
首先回答你的第二个问题:
由于您仍在使用NTLM,因此在多域环境中阅读NTLM的stream程可能会帮助您理解这一点。 IIS将联系其域中的域控制器(DC),该控制器又将联系可信域中的DC。
信任DC对受信域名进行DNS查找,并将LDAP和NetBIOS请求发送给该查询返回的所有DC。 第一个回应“胜利”。 这可能就是为什么你在这个过程中看到一些不确定性的原因。 你可以通过使用DNS来影响这个过程。
查找身份validationDC将会是捕获身份validation通信量的问题,或者是查看身份validation可能发生的所有DC的安全事件日志。